Konfiguracija nastavitev ponudnika Open ID Connect za portale

Ta tema se uporablja za sistem Portali Dynamics 365 in novejše različice.

Zunanji ponudniki identitet OpenID Connect so storitve, ki ustrezajo specifikacijam Open ID Connect. Integracija ponudnika vključuje iskanje URL-ja overitelja (ali izdajatelja), povezanega s ponudnikom. URL konfiguracije je lahko določen iz overitelja, ki zagotavlja metapodatke, potrebne v poteku dela preverjanja pristnosti. Nastavitve ponudnika temeljijo na lastnostih razreda OpenIdConnectAuthenticationOptions.

Primeri URL-jev overiteljev so:

Uporaba vsakega ponudnika OpenID Connect vključuje tudi registracijo aplikacije (podobno kot pri ponudniku OAuth 2.0) in pridobivanje ID-ja odjemalca. URL overitelja in ustvarjen ID odjemalca aplikacije sta nastavitvi, ki sta potrebni pri omogočanju zunanjega preverjanja pristnosti med portalom in ponudnikom identitet.

Opomba

Končna točka Google OpenID Connect trenutno ni podprta, saj so temeljne knjižnice še zmeraj v zgodnjih fazah izdaje in je treba obravnavati vprašanja glede združljivosti. Namesto tega je mogoče uporabiti končno točko za Nastavitve ponudnika OAuth2 za portale OAuth2.

Nastavitve OpenID za Azure Active Directory

Za začetek se vpišite v Portal za upravljanje Azure in ustvarite ali izberite obstoječi imenik. Ko je na voljo imenik, upoštevajte navodila za dodajanje programa v imenik.

  1. V meniju Aplikacije v imeniku izberite Dodaj.
  2. Izberite Dodaj program, ki ga razvija moja organizacija.
  3. Določite ime po meri za program in izberite vrsto spletni program in/ali spletni API.
  4. Za Prijavni URL in URI ID-ja aplikacije navedite URL portala za obe polji https://portal.contoso.com/
  5. Na tej točki se ustvari nov program. Pomaknite se do razdelka Konfiguracija v meniju.

    V razdelku enotna prijava posodobite prvi vnos URL odgovora tako, da bo vključeval pot v URL-ju: http://portal.contoso.com/signin-azure-ad. To ustreza vrednosti nastavitve mesta RedirectUri

  6. V razdelku Lastnosti poiščite polje ID odjemalca. To ustreza vrednosti nastavitve mesta ClientId.

  7. V meniju noge izberite možnost Prikaži končne točke in si oglejte polje Dokument metapodatkov združevanja.

Levi del URL-ja je vrednost Overitelj in je v eni izmed naslednjih oblik zapisa:

Da dobite URL konfiguracije storitve zamenjajte konec poti FederationMetadata/2007-06/FederationMetadata.xml s potjo .well-known/openid-configuration. Na primer https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

To ustreza vrednosti nastavitve mesta MetadataAddress.

Ustvarjanje nastavitev mesta z uporabo OpenID

Uveljavite nastavitve mesta portala, ki se sklicujejo na zgornjo aplikacijo.

Opomba

Standardna konfiguracija Azure AD uporablja samo naslednje nastavitve (z vrednostmi primerov):

Konfigurirati je mogoče več ponudnikov identitet, tako da oznake zamenjate z oznako [ponudnik]. Vsaka enolična oznaka tvori skupino nastavitev, povezanih s ponudnikom identitet. Primeri: AzureAD, MyIdP

Ime nastavitve mesta Opis
Authentication/Registration/ExternalLoginEnabled Omogoči ali onemogoči vpis in registracijo v zunanji račun. Privzet: »true«
Authentication/OpenIdConnect/[ponudnik]/Authority Obvezno. Overitelj za uporabo pri izvajanju klicev OpenIdConnect. Primer: https://login.windows.net/contoso.onmicrosoft.com/. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[ponudnik]/MetadataAddress Končna točka odkrivanja za pridobitev metapodatkov. Pogosto se konča s potjo: /.well-known/openid-configuration. Primer: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[ponudnik]/AuthenticationType Vrsta vmesne programske opreme za preverjanja pristnosti OWIN. Navedite vrednost izdajatelja v metapodatkih za konfiguracijo storitve. Primer: https://sts.windows.net/contoso.onmicrosoft.com/. Več informacij najdete tukaj: AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[ponudnik]/ClientId Obvezno. Vrednost ID-ja odjemalca iz programa ponudnika. To se lahko imenuje tudi »ID programa« ali »Ključ porabnika«. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[ponudnik]/ClientSecret Vrednost skrivnosti odjemalca iz programa ponudnika. To se lahko imenuje tudi »Skrivnost programa« ali »Skrivnost porabnika«. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[ponudnik]/RedirectUri Priporočeno. Končna točka pasivnega protokola AD FS WS-Federation. Primer: https://portal.contoso.com/signin-saml2. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[ponudnik]/Caption Priporočeno. Besedilo, ki ga lahko uporabnik prikaže v uporabniškem vmesniku za vpis. Privzeto: [ponudnik]. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[ponudnik]/Resource »Vir«. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[ponudnik]/ResponseType »response_type«. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[ponudnik]/Scope S presledki ločen seznam dovoljenj za zahtevo. Privzeto: openid. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.Scope.
Authentication/OpenIdConnect/[ponudnik]/CallbackPath Izbirna omejena pot za obdelavo povratnega klica za preverjanja pristnosti. Če to ni navedeno in je na voljo RedirectUri, to vrednost ustvari RedirectUri. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[ponudnik]/BackchannelTimeout Vrednost časovne omejitve za vzvratno komunikacijo po kanalu. Primer: 00:05:00 (5 minut). Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[ponudnik ]/RefreshOnIssuerKeyNotFound Določa, če se po izjemi SecurityTokenSignatureKeyNotFoundException poskuša izvesti osvežitev metapodatkov. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[ponudnik]/UseTokenLifetime Označuje, da se mora čas trajanja seje preverjanja pristnosti (npr. piškoti) ujemati s časom trajanja žetona za preverjanje pristnosti. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[ponudnik]/AuthenticationMode Način vmesne programske opreme za preverjanja pristnosti OWIN. Več informacij najdete tukaj: AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[ponudnik]/SignInAsAuthenticationType AuthenticationType, ki se uporabi pri ustvarjanju atributa System.Security.Claims.ClaimsIdentity. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[ponudnik]/PostLogoutRedirectUri »post_logout_redirect_uri«. Več informacij najdete tukaj: OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[ponudnik]/ValidAudiences Z vejico ločen seznam URL-jev občinstva. Več informacij najdete tukaj: TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[ponudnik]/ValidIssuers Z vejico ločen seznam URL-jev izdajatelja. Več informacij najdete tukaj: TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[ponudnik]/ClockSkew Nagib ure, ki se uporabi pri preverjanju časa.
Authentication/OpenIdConnect/[ponudnik]/NameClaimType Vrsta zahtevka, ki jo ClaimsIdentity uporabi za shranjevanje imena zahtevka.
Authentication/OpenIdConnect/[ponudnik]/RoleClaimType Vrsta zahtevka, ki jo ClaimsIdentity uporabi za shranjevanje vloge zahtevka.
Authentication/OpenIdConnect/[ponudnik]/RequireExpirationTime Vrednost, ki označuje, ali morajo imeti žetoni vrednost »expiration«.
Authentication/OpenIdConnect/[ponudnik]/RequireSignedTokens Vrednost, ki označuje, ali je lahko vrednost System.IdentityModel.Tokens.SecurityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5" veljavna, če ni podpisana.
Authentication/OpenIdConnect/[ponudnik]/SaveSigninToken Logična vrednost za nadzor tega, ali se prvotni žeton shrani, ko je ustvarjena seja.
Authentication/OpenIdConnect/[ponudnik]/ValidateActor Vrednost, ki označuje, ali je treba preveriti veljavnost vrednosti System.IdentityModel.Tokens.JwtSecurityToken.Actor.
Authentication/OpenIdConnect/[ponudnik]/ValidateAudience Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost občinstva.
Authentication/OpenIdConnect/[ponudnik]/ValidateIssuer Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost izdajatelja.
Authentication/OpenIdConnect/[ponudnik]/ValidateLifetime Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost časa trajanja.
Authentication/OpenIdConnect/[ponudnik]/ValidateIssuerSigningKey Logična vrednost, za nadzor tega, ali se prikliče preverjanje veljavnosti vrednosti System.IdentityModel.Tokens.SecurityKey, ki podpiše securityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5".

Glejte tudi

Konfiguracija preverjanja pristnosti v portalu Dynamics 365
Nastavitev identitete za preverjanje pristnosti za portal
Nastavitve ponudnika OAuth2 za portale
Nastavitve ponudnika WS-Federation za portale
Nastavitve ponudnika SAML 2.0 za portale
Preverjanje pristnosti programa storitve Facebook (zavihek strani) za portale